Államkincstár: tátongó rések a pajzson
Úgy döntöttem, hogy egy kicsit jegelem ezt a cikket, hogy rossz arcoknak ne adjak tippeket. Az üzenet biztos eljutott a címzetthez, mert a sajtóosztályuk este képes volt írni, jóval a munkaidő vége után, na nem azért, hogy kijavítsa a cikkben leírtakat, hanem hogy vegyem le, mert egyébként.
Visszaírtam nekik, de csak a mailer daimon válaszolt, más is panaszkodott, hogy már nem fogadnak e-mailt.
Szóval a cikk remélem elérte a célját és lesznek hathatós változások az Államkincstár online felületén.
A cikk végét azért bemásolom, add tovább mindenkinek a közeledben.
Addig is, amíg az Államkincstár csinál valamit, minden hozzátartozódat figyelmeztesd, különösen az idősebbeket, hogy ha bármilyen indokkal állítólag az Államkincstártól hívják, ne csináljon semmit, amit kérnek tőle, hanem tegye le a telefont és ő tárcsázza a 1811-es rövid hívószámot. Ha tényleg gebasz van, ott úgyis megmondják, s akkor biztos, hogy tényleg velük beszél.
Hívd fel a figyelmüket, hogy semmit nem jelent, hogy a telefonja mit ír ki a képernyőjén hívó számnak, hiába látja bejövő hívásnak ezt a számot, azt lehet hamisítani. Ezért érdemes felírnia (felírni neki) az összes szükséges telefonszámot (Államkincstár, a bankjának a száma, stb.) és a lelkére kötni, hogy bárki hívja állítólag bankból vagy Államkincstárból, vonal bontása és ő tárcsázza a biztos jó banki számot.
– Állítsák be a DMARC-t Reject-re. SPF +DKIM.
Aki nem tudja mit jelent:
Egy kellően jó email szerverrel a mai napig tudok úgy e-mailt küldeni, hogy az pontosan valamelyik bank domainjét tartalmazza. (Nem tömegesen, 10 / nap kb a limit.)
Már írtam is az ügyfélszolgálatnak … és ti?
Köszi!
Ezeket az “alapokat” remélem viccnek szántad, mert a fele ordas hülyeség. Természetesen használsz mobilappot a biometrikus azonosítás miatt és természetesen nem széfben őrzöd a jelszavakat, hanem egy jelszótárolóban, mely adatbázishoz tartozó bonyolult jelszót megtanulod.
Az új számlaszám felvitelére évtizedek óta használják a cégek az “amiről befizetés történt és ami igazoltan a neveden van” faék egyszerűségű kéttagú előírást. Nem kell feltalálni a spanyolviaszt, szóval ezt a hülyeséget, hogy 2023-ban személyesen kelljen intézni egy adatmódosítást, ne erőltessük már, mint ahogy a telefonáltatás is csak egy teljesen értelmetlen szívatás, hisz telefonhívással semmi olyat nem tudnak azonosítani biztonságosabban, amit anélkül ne lehetne.
5 karakteres speciális kis nagybetű + szám: kb 60 jegy, 60^5 = 777 600 000 kombináció
7 jegyű szám, csak kisbetű = 25^7 = 6 103 515 625
A jelszó hosszú és értelmetlen legyen, ne krikszkraksz. Úgyse bruteforce-szal fogják törni. 😀
Egyébként amiket írsz azok valid problémák.
Ugyanakkor meg full pozitív a sebessége és a működése, miután az általam látott és/vagy használt bankoknak egy katasztrófa a felülete, vagy a sebessége, vagy mindkettő.
Érdemes lenne egy cikket arra is szánni, hogy senki ne használja a iPhone illetve droidos jelszókezelőt, hanem töltsön le egy függetlent pl 1passwordot. Ha valakinek el van mentve iPhonen a banki app jelszava, akkor egyszerűen a jelkóddal hozzá is férnek mindenhez. Az sem megoldás, ha az app nincs letöltve, netre felmennek és belépnek ott. Sms megerősítés kell? Az emberek 99%-nak arra a számra jön a megerősítő kód, amit elloptak.
A józan paraszti logika sok esetben nem működik itt. Érdemes a szakemberek tanácsait követni, és nem kitalálni saját megoldásokat.
szerintem most menj el egy kicsit otthonrol, mert lehet hogy nemsokara ki fog menni erted a tek amiert terheleses tamadast inditottal az allamkincstar ellen…
Egyebkent tenyleg jo lenne ha minel tobben irnank nekik, hatha legalabb egy reszet megcsinaljak. Es nem utolso sorban kiderulhetne, hogy van-e ereje a kiszamolos kozossegnek. Ez egy jobbito szandek ami igazabol mindenkinek jo lenne.
Ahogy mar szoba kerult egy kesz masolhato level is jo lenne amit csak el kell kuldeni.
Mellékelten megküldjük a 36/2015. (IX. 24.) MNB rendelethez kapcsolódóan az MNB internetes egyenleglekérdező rendszeréhez szükséges belépési azonosítóját. Az MNB belépési azonosító állandó, mely az Ön részére egyedileg generált, míg az MNB jelszava havonta változni fog, melyet havi gyakorisággal, az értékpapír nyilvántartási-számla szerződésben rögzített értesítési csatornán rendelkezésére bocsátott összevont értékpapír nyilvántartási számlakivonaton talál meg.
Felmerülő kérdések esetén forduljon bizalommal a Call Center munkatársaihoz vagy személyesen bármely állampapír-forgalmazó ügyfélszolgálaton munkatársainkhoz.”
stb stb,,
amugy meg mindenne egyetértek, de annyi minden egyéb kockázat van, nekem ez már fel sem tűnik. A CVC kódom az pl nem baj a kártyám hátoldalán?
Jelszót érdemes mondókából vagy versből gyártani, minden szó első betűjét használod, első kicsi, második nagy,pl tavaszi szél vizet áraszt hej dunáról fúj a szél + egy szám
tVsVaHdFaS2023
“Azonban mindenki védve van, aki mobilkincstárat is használ – itt most az ezen a halmazon kívülieknek el kellene gondolkodni, hogy mennyire okos dolog a “mobilról nem bankolunk” hozzáállás”
hu.wikipedia.org/wiki/K%C3%B6zbe%C3%A9kel%C5%91d%C3%A9ses_t%C3%A1mad%C3%A1s
Mit nehezebb kompromittalni: 2 kulonbozo halozatot (mobilhalozat es pl. egy optikai vezetekes halozat) vagy egy mobilhalozatot?
Sokkal egyszerubben ki lehet vitelezni MITM tamadast egy mobilhalozaton, mint gondolnad: telecomsinfrastructure.com/2019/10/4g-lte-man-in-middle-attacks-with.html
“Egy ellopott mobillal nem fog tudni senki sem semmit kezdeni, hiába “csak” egy ujjlenyomat vagy FaceID véd rajta mindent”
Adatvedelmi szempontbol a legrosszabb eshetoseg az, amikor a tamado a fizikailag hozzafer az adatot tarolo eszkozhoz.
SMS-t lopni meg könnyebb.
Nem mondom h Google 2FA / authy stb nem volna rossz de nem ez a rendszer gyenge pontja hanem a sok suta aki minden szarban bedől mert annyi esze sincs mint egy marék hangyának
További paranoia faktor, ha csinálsz egy másodlagos asztalt és azon tartod a banki alkalmazásokat. Ennek a másodlagos asztalnak lehet egy harmadik feloldómintája és persze itt is lehet zárolni az alkalmazásokat. És elégg nem triviális, hogy ezt hol kell elindítani (apró hiba, hogy a másodlagos asztal értesítései nem jelennek meg az elsődlegesen, de ez akár előny is lehet.).
“5 karakteres speciális kis nagybetű + szám: kb 60 jegy, 60^5 = 777 600 000 kombináció
7 jegyű szám, csak kisbetű = 25^7 = 6 103 515 625”
Keruljuk mar el a hamis dilemma ervelest!
Korrekten osszehasonlitva az ugyanolyan hosszu jelszavakat:
5 karakter 60^5 vs 25^5: ~80-szor tobb lehetseges kombinacio
7 karakter 60^7 vs 25^7: ~460-szor tobb lehetseges kombinacio
allamkincstar.gov.hu/header-tartalmak/kapcsolat/email/kapcsolatfelveteli-urlap
Nektek sikerült valahol
“Ezért ha a kártyádra fel van írva ez a CVV kód, jegyezd fel valahová és utána tüntesd el a kártyádról.”
https://kiszamolo.hu/tudnivalok-a-bankkartyakrol/
Mondjuk en mar alapbol nem viszek magammal fizikai kartyat. Ez mondjuk nagy elonye a telefonos/okosoras fizetesnek.
(Hogy milyen regi cikkek jutnak az eszembe, pedig akkor meg nem is voltam kiszamolo olvaso)
“amiről befizetés történt és ami igazoltan a neveden van” egyreszt a mak nem nezi hogy a neveden van-e, azt allitasz be amit akarsz es egyebkent is miert ne utalhatnam ki masnak, masreszt befizetek 10.000ft-ot es lenyulok 10milliot.
Nyilvan nem lesz torhetetlen rendszer, de minimum a telszamot es az emailt ne lehessen csak ugy atirni, utana ha minden utalashoz es minden uj szamlaszamhoz jovahagyas kell (min sms) akkor mar nem lesz olyan kecsegteto a csalok szamara.
Amikor – nem részletezett műszaki okok miatt – véletlen nem megy ki az SMS, akkor gyorsabban kapsz szívrohamot.. 🙂
A mobilalkalmazást felesleges hazárdírozásnak tartom. Úgy a legjobb ha egyszerre kell a Laptop és a biometrikusan lezárt telefon is a belépéshez. Az Avast az egyik legjobb a piacon, magáncélra ingyenes, a saját böngészőjét lehet banki módban futtatni.
– Normális laptop: Lehet Windows is, Mac is, lényeg, hogy mindig csutkára legyen frissítve, az összes frissítés legyen felpakolva. Pornó, torrent, szex oldalakat kerüljük, facebookos macskás jóslós alkalmazásokat. Crackelt, feltört programokat is.
– Normális telefon: Előre mondom Androidot évek óta nem használok, mert pár éve is egy fostalicska volt security szempontból, az én szemembe ma is az. Egész egyszerűen a Play Storeban sok a fertőzött alkalmazás, másrészt frissítés lassan és nem minden esetben jön a telefonra. Tehát iPhone. Szintén csutkára frissítve, ma jött ki az iOS17, lehet is feltenni. Érdemes megnézni a logot mennyit mindent foltoztak. Face ID nem old fel,ha nem nézel a telefonba,nehéz kierőszakolni
– Jelszó: kellő hosszúságú és komplexitású, minden oldalra más és más jelszó. Meg kell jegyezni? Nem kell: iCloud kulcskarika, szintén iPhone kell és Mac.
Kár volt ezt a kommentet írnod, ezzel a kiesett idővel megint milliókat vesztettél!
És az utolsó láncszem, az ember, mert az ember a leggyengébb tűzfal. Zero trust policy. Azaz ha pénzről van szó, mindig gyanakodni, hogy ki akarnak rabolni.
Az eredeti program fejlesztője Bruce Schneier kb. a számítógépes biztonság pápája, az amerikai törvényhozás is kikérte már a véleményét. Magyarul is jelent meg már könyve (hvgkonyvek.hu/konyv/schneier-a-biztonsagrol) – igaz, az már eléggé elavult, (2010-ben jelent meg).
A programból az újabb változatokat már nem ő fejleszti, de olyan személyek, akikben ő megbízik. A program ingyenes és nyílt forráskódú, továbbá offline működik. Van pár klónja a programnak, amit az oldal is felsorol, köztük Androidra vagy iOS-re.
Aki extra biztonságra vágyik, a Password Safe Yubikey-jel is működik, tehát a programba belépéskor a master password mellé kell még a hardveren is nyomni egy gombot.
Ha egyszerre férnek hozzá a mobilodhoz és az ujjlenyomatodhoz, vagy az arcodhoz (faceid).
Akkor egyszerre lesz lenullázva az összes bank és értékpapírszámlád.
Ráadásul a biztosító sem fizet.
Sajnos ezt a rossz arcok is tudják. Ezért leitatnak/leütnek/bedrogoznak, majd nem a pénztárcádat viszik el, hanem az ujjadat tartják oda az iphone-ra, az államkincstár loginhoz, utána meg a kiutaláshoz.
Ha viszont nincs rajta az app a mobilodon, akkor ez a támadási vektor nem probléma. (a számla pénzekre)
Persze ha PIN-nel lehet csak és kizárólag belépni a mobilodon, akkor szintén ok.
Sajnos az emberek nem így használják:
statista.com/statistics/1305993/screen-lock-methods-global-users/
Felhivtad a figyelmet egy hibára. Ez olyan kb mint amikor az etikus hackert vegzálták.
Egyébként itt tudja mindenki tesztelni a jelszavát, hogy mennyire erős :
security.org/how-secure-is-my-password/
2023-09-18 at 19:53
…Esetleg tudja valaki konkrétan, hogy a rendszer tényleg engedi, hogy nem a számlatulajdonos nevére rögzített bankszámlára automatikusan ki lehet utalni? Ennek azért elég komoly pénzmosási kockázata is van a leírtakon túlmenően, jóhiszeműen el sem tudnám képzelni hogy egy pénzügyi intézmény ilyet automatikusan lehetővé tesz 24 órán belül bármilyen ellenőrzés, illetve kapcsolatfelvétel nélkül…”
Mi van??? nem is értem a felvetésedet. Ha az, hogy a számlaszám és a hozzá tartozó tulajdonos nincs összevezetve pl. a GIRO-nál, és ha elütsz egy ékezetet a nevében, akkor nem utalsz, ilyen ellenőrzés nincs.
Ha azt kérdezed, hogy magadon kívül utalsz, és azt miért engedi (pénzmosás, tudod, mikor a megrendeled a zuhanyrózsát!?), akkor ezt gondold át.
Vagy hívjon mindig az OTP ha utalsz a havernak ebédelosztás?
Bocs, nem értem.
Szóval engedi, utalhatsz bárhová.
De a jelszó rövidsége még önmagában nem teszi a rendszert feltörhetővé. Lehet a próbálkozásokat korlátozni mint számszerűségben, mint magát az összehasonlítást annyira elnehezíteni hogy a próbálkozás esélytelen legyen. A jelszó hossza csak egy a sok tényezőből. De azért a 16 karakter nevetséges!
2023-09-18 at 20:42
Elérte a célját, amiért megírtam (legalábbis remélem, pár hét múlva megtudjuk), így feleslegessé vált a cikk.”
Aki eddig vissza akart volna élni vele, az tudta eddig is. Ha még nem tudta, akkor a tárolt változtatból utánanéz (mert amit egyszer kiraktál, az ott is marad, a cikked is le van már mentve, ellenőriztem 🙂 ). És amúgy annyira nem hiszem, hogy egyszerű lenne kihasználni ezeket felhasználói hiba nélkül, az meg eddig is és továbbra is probléma volt/lesz.
Snowden is ellopott az NSA-tól sok mindent, pedig nem hiszem, hogy ott nem értettek a védekezéshez.
12.3.1. Kapcsolattartási adatok
A kapcsolattartási telefonszámok kizárólag elérhetőséghez kapcsolódnak, így az elektronikus csatornához vagy jóváírásról érkező SMS-hez kapcsolódó telefonszámo(ka)t csak személyesen, vagy Ügyfélkapun keresztül van lehetőség módosítani.
Miért annyira magától értetődő, hogy a képernyő-billentyűzetet nem tudják keyloggolni? Elég ha a böngésző “bemenetéhez” , hozzáférnek, nem?
Úgy értettem ez nem egy klasszikus bankszámla, hanem egy megtakarítási számla, ezért alapból azt gondoltam csak a számlavezető nevére enged kiutalást. Ha ettől eltérőt szeretnél megadni, azt nem tudod esetleg online megtenni max személyesen vagy Ügyfélkapun keresztül, de ha engedi, én elhiszem. Köszi szépen.
Béláim az a fajta ember, aki alkalmazottként ül a munkahelyén, Facebookozik, és számolja a perceket, melyet fejben átkonvertál forintba. (Tehát az internetezés nem kiesés neki.) Még WC-re is inkább a munkahelyen megy el, mert akkor jól megfizették neki a sz@rást.
Valószínűleg egyetemet végzett, alkalmazotti léthez képest jó fizetést jelentő pozícióban van, 21 és 30 év közötti, család nélkül.
Még a pénz a legértékesebb dolog az életében, amiért mindent feláldoz, túlórázik is, akkor is, ha nincs mit.
Egyébként nem baj, majd kinövi. Ha esetleg 30+-os, akkor már baj van.
Source: I’ve been there.